Blog: WhatsApp et la confidentialité de vos données en 2021

Auteur: Vlad
Publié le

Patrowl's blog - WhatsApp et la confidentialité de vos données en 2021

TL;DR : Suite à l’annonce du changement des conditions d’utilisation de WhatsApp, beaucoup d’utilisateurs migrent vers d’autres solutions.

Mettre ses parents, voire grands-parents à un smartphone n’est pas simple. Leur permettre de recevoir des photos de leur enfants ou petit-enfants par Whatsapp, ainsi que de les voir en appel visio est encore moins simple mais beaucoup s’y sont mis. <<Maman, je vois ton oreille là, c’est un appel visio>> est une phrase classique et je vous renvoie vers ces vidéos de Cyprien : https://www.youtube.com/watch?v=uFpKj3JbORset https://www.youtube.com/watch?v=ZJD1zoAaCmo

Faire migrer ces populations sur une autre application est encore moins simple mais, à ma grande surprise, mon entourage proche a migré vers Signal sans difficulté. Mais pourquoi migrer ?

Vous l’avez vu partout dans la presse et sur Internet : Facebook, maison mère de Whatsapp, a décidé de changer les conditions d’utilisation de cette dernière pour permettre de croiser les bases de données.

https://www.bleepingcomputer.com/news/security/whatsapp-share-your-data-with-facebook-or-delete-your-account/

https://www.zdnet.fr/actualites/whatsapp-veut-forcer-le-partage-de-ses-donnees-utilisateurs-avec-facebook-39915775.htm

https://9to5mac.com/2021/01/06/whatsapp-share-your-data-with-facebook/

https://www.engadget.com/whatsapp-privacy-policy-update-facebook-data-sharing-205451955.html

Concrètement, qu’est-ce qui change ?

Conditions générales d’utilisation

Anciennes : https://www.whatsapp.com/legal/terms-of-service

Nouvelles : https://www.whatsapp.com/legal/updates/terms-of-service-eea

Politique de confidentialité

Anciennes : https://www.whatsapp.com/legal/privacy-policy?eea=0&lang=en

Nouvelles : https://www.whatsapp.com/legal/privacy-policy-eea

Il n’y a pas de grand changement sur ce qu’ils collectent mais c’est surtout le partage affiché avec Facebookqui change :

Businesses On WhatsApp.

Businesses you interact with using our Services may provide us with information about their interactions with you. We require each of these businesses to act in accordance with applicable law when providing any information to us. When you message with a business on WhatsApp, it’s important to keep in mind that the content you share may be visible to several people in that business. In addition, some businesses might be working with third-party service providers (which may include Facebook) to help manage their communications with their customers. For example, a business may give such third-party service provider access to its communications to send, store, read, manage or otherwise process them for the business.

To understand how a business processes your information, including how it might share your information with third parties or Facebook, you should review that business’ privacy policy or contact the business directly.

Device And Connection Information.

We collect device and connection-specific information when you install, access, or use our Services. This includes information such as hardware model, operating system information, battery level, signal strength, app version, browser information, mobile network, connection information including phone number, mobile operator or ISP, language and time zone, IP address, device operations information, and identifiers (including identifiers unique to Facebook Company Products associated with the same device or account).

Location Information.

We collect and use precise location information from your device with your permission when you choose to use location-related features, like when you decide to share your location with your contacts or view locations nearby or locations others have shared with you. There are certain settings relating to location-related information which you can find in your device settings or the in-app settings, such as Location sharing. Even if you do not use our location-related features, we use IP addresses and other information, like phone number area codes, to estimate your general location (e.g., city and country). We also use your location information for diagnostics and troubleshooting purposes.>>

J’adore la justification qu’ils donnent pour la collecte et le partage de vos informations avec des tiers :

Third-Party Information

Information Others Provide About You. We receive information about you from other users. For example, when other users you know use our Services, they may provide your phone number, name, and other information (like information from their mobile address book) just as you may provide theirs. They may also send you messages, send messages to groups to which you belong, or call you. We require each of these users to have lawful rights to collect, use, and share your information before providing any information to us.

You should keep in mind that in general any user can capture screenshots of your chats or messages or make recordings of your calls with them, and send them to WhatsApp or anyone else, or post them on another platform.>>

Je traduis 😉 : Vos contacts ont votre numéro de téléphone et peuvent le partager, donc pourquoi nous embêter quand nous le faisons ?

Ce qui change surtout, c’est qu’avec cette nouvelle mise à jour des conditions générales, soit vous acceptez, soit vous n’utilisez plus WhatsApp, dur !

Par contre, il est indiqué que si l’utilisateur est Européen, alors, ces changements ne s’appliquent que partiellement : merci le RGPD !

Je vous recommande la lecture de cet article de Le Monde sur le sujet : https://www.lemonde.fr/pixels/article/2021/01/07/whatsapp-revoit-ses-conditions-d-utilisation-sur-le-partage-des-donnees-utilisateurs-avec-facebook_6065529_4408996.html

Ouf, les Européens sont sauvés ! Enfin…

Le règlement général sur la protection des données (RGPD) est notre sauveur, génial, vive l’Europe !

Super, mais non, en réalité, WhatsApp partage les données avec Facebook depuis 2016 : https://9to5mac.com/2016/08/25/whatsapp-facebook-data-opt-out/

Suite au rachat de WhatsApp par Facebook en 2014, Facebook s’était engager à ne pas croiser les données, dont les numéros de téléphones, pendant au moins 5 ans mais l’a finalement fait au bout de 3 ans :https://ec.europa.eu/commission/presscorner/detail/fr/IP_16_4473

<< contrairement aux affirmations de Facebook la possibilité technique d’associer automatiquement les identifiants d’utilisateur de Facebook aux identifiants d’utilisateurs de WhatsApp existait déjà en 2014. À ce stade, la Commission craint donc que Facebook ait fourni, délibérément ou par négligence, des informations inexactes ou trompeuses à la Commission, en violation des obligations qui lui incombent en vertu du règlement de l’UE sur les concentrations.

Il est essentiel que les sociétés respectent l’obligation de fournir des informations exactes et non trompeuses aux fins des enquêtes sur les opérations de concentration afin que la Commission puisse examiner efficacement les opérations de concentration et d’acquisition.>>

Facebook avait d’ailleurs été sanctionné de 100 millions d’euros : https://www.lefigaro.fr/secteur/high-tech017/05/18/32001-20170518ARTFIG00072-la-commission-europeenne-sanctionne-facebook-d-une-amende-de-110-millions-d-euros.php

Bien sûr, il n’y a pas la preuve que les données aient été croisées, mais Facebook a mentit : il est possible, depuis le début, de croiser les données de WhatsApp et Facebook.

Les modifications répétées de leur conditions d’utilisation et de confidentialités ne font que tenter de mettre en conformité celles-ci avec les usages… disons… supposés 😉. Mais il faudrait être naïf pour penser qu’ils ne croisent pas déjà les données, tout en essayant de limiter les risques comme par exemple en ne partageant pas le numéro de téléphone mais une empreinte unique et non réversible, qui permettrait de croiser les données, sans techniquement partager le numéro de téléphone (ce qui serait de la totale hypocrisie et n’étant pas juriste, je ne sais pas si cela tiendrait devant un juge 😉).

Ce changement des conditions a un peu réveillé le monde, qui commence à se rendre compte des abus de Facebook et commence à changer de plateforme, en particulier pour Signal, crée par l’un des fondateurs de WhatsApp ayant quitté au moment du rachat par Facebook et soutenue par la “Freedom of the Press Foundation”.

Je ne saurais donc que vous recommander de migrer de WhatsApp vers autre chose en vous laissant choisir vous-même, cf. « Sécurité Les solutions de messagerie sécurisées (ou pas) ».

N’est-il pas déjà trop tard ?

Très honnêtement, je n’en ai aucune idée mais si vous supprimez votre compte WhatsApp, je doute que Facebook ou WhatsApp conservent vos données au risque de se prendre une nouvelle sévère amende de la commission Européenne.

Et je reprendrais ici ce vieil adage : il n’est jamais trop tard 👍.

Comment faire ?

Personnellement, j’utilise surtout Signal, qui dispose d’un client lourd pour Windows, macOS et Linux : https://signal.org/download/

Il y’a d’autres solutions de messageries sécurisées comme Olvid ou Telegram (qui ne chiffre pas les communications de bout en bout par défaut), que j’utilise également mais pour des usages spécifiques. Les copains, la famille, les voisins… c’est Signal.

J’ai donc entamé de migrer mes échanges et groupes WhatsApp vers Signal, en envoyant un message décrivant la problématiques, qui pour ma part était :

Hello, du fait du rachat de WhatsApp par Facebook, WhatsApp va fournir toutes les informations des utilisateurs à Facebook, à partir du 8 février : https://www.bleepingcomputer.com/news/security/whatsapp-share-your-data-with-facebook-or-delete-your-account/

En plus du numéro de téléphone (qui sera croisé avec les bases Facebook), il y’aura aussi toutes les autres informations comme le carnet d’adresse, les applications installées…

J’étais déjà très réfractaire à l’utilisation de Whatsapp mais ce changement marque pour moi la fin de cet outil, au profit de Signal : sûr, ouvert et tout aussi simple à utiliser (avec des fonctionnalités plus sympas comme le faire de pouvoir réagir à un message par une émoticône).

Fin pour une personne : Pour me contacter, il faudra donc utiliser l’application Signal, ou le mail, ou le téléphone 😉

Fin pour un groupe : Je vais créer un groupe Signal du même nom, dont voici le lien : https://signal.group/

Je reconnais que j’aurais pu faire mieux, parler de la commission européenne, être plus précis, plus modéré, mais je le trouve déjà trop long 😉.

Et sinon, oui, j’adore donner mon avis sur des messages avec des émoticônes, ce que ne permet pas WhatsApp :

Patrowl's blog - WhatsApp et la confidentialité de vos données en 2021

Ok mais si tout le monde part, Facebook va faire machine arrière !

Certains supposent que si les gens migrent massivement de WhatsAppvers Signal(ou tout autre solution), alors ils feront machine arrière et reviendront sur cette décision de partage. Personnellement, j’en doute fortement car ce partage est au cœur de leur modèle d’affaire et du rachat de WhatsApp.

Je pense plutôt que les gens ne passeront pas massivement sur Signal et que les gens « normaux » conserveront WhatsApp en plus de Signal, pour pouvoir continuer à discuter avec leurs étranges amis/époux/épouse/cousins/… geek-informaticien qui se rebellent contre Facebook.

De son côté, Facebook fera le dos rond, acceptera les pertes de comptes et continuera car les futures générations oublieront peut-être qu’avant, il y’avait une notion de vie privée, que n’importe quelle entreprise ne pouvait pas acheter toutes les informations sur la vie d’une personne pour la harceler de publicités inutiles*… Je n’espère pas cela, mais c’est une éventualité et cela me semble être la stratégie de Facebook.

Restons optimistes 🤞 face à ce genre de modèle d’affaire basé sur le pillage et la revente sans limite des données personnelles allant à l’encontre des libertés individuelles. Peut-être qu’une prise de conscience massive pourrait le rendre précaire et peu rentable.

Bonne migration 😄

*dans le meilleur des cas, dans le pire des cas avec une influence importante sur nos vies et je vous propose d’écouter cette émission : https://www.franceinter.fr/emissions/le-code-a-change/pourquoi-s-est-on-mis-tout-noter-avec-vincent-coquaz et celle-ci https://www.franceinter.fr/emissions/le-code-a-change/ils-cherchent-les-trucs-bizarres-qu-il-y-a-dans-vos-telephones-rencontre-avec-des-traqueurs-de-trackers

Blog: On voulait parler des attaques cyber pendant les JO mais on n'a rien à dire

Levée de 11 M€ pour Patrowl en série A : Vers une protection continue des actifs numériques

Blog: RegreSSHion, critical vulnerability on OpenSSH CVE-2024-6387